کد 640-70

Certificate templates برای ایجاد certificate هایی که شما در تنظیمات AD CS بکار می برید، استفاده می شود. Enterprise CA ها از نمونه های ورژن 2 و 3 استفاده می کنند. شما می توانید این نمونه ها را پیکربندی کرده و با توجه به نیاز شبکه خود، آنها را تغییر دهید. برای آماده سازی نمونه ها جهت کاربردهای مختلف، ابتدا می بایست هر نمونه را برای کاری که قصد انجام آن را دارید پیکربندی کرده و پس از تنظیم، هر کدام را در CA های موجود در شبکه منتشر کنید. پس از انتشار و اضافه شدن نمونه به CA، شما می توانید آنها را صادر کنید. در واقعا، شما certificate های مورد نیاز خود را شخصی سازی کرده و Certificate templates به آنها اجازه می دهد تا توسط CA صادر شوند. برای پیکربندی به issuing CA لاگین کرده و مراحل زیر را انجام دهید:

• از Server Manager و از قسمت Roles به Active Directory Certificate Services رفته و Certificate Templates را انتخاب کنید. توجه داشته باشید که تمامی نمونه های موجود در بخش جزییات لیست شده اند.

ادامه ی مطلب

همیشه پس از نصب هر سرویس، تنظیمات دیگری نیز برای پیکربندی و یا نگهداری بهتر از آن نیاز است. Revocation یکی از روش هایی کنترلیست که می توانید با استفاده از آن، certificate هایی که غیرقابل استفاده شدند و یا نیاز به کنسل کردن آن ها دارید را کنترل کنید. این مورد، یکی از دلایلی ست که شما قبل از صدور certificate، می بایست revocation را پیکربندی کنید (revocation در لغت به معنای لغو کردن است). برای ایجاد revocation، موارد زیر بایستی اجرا شوند:

• تعیین نقاط توزیع Certificate Revocation List (CRL)
• تنظیمات مربوط به CRL و Delta CRL
• زمانبندی انتشار CRL ها

برای آشنایی با مفاهیم بالا، به مطلب مربوط به معرفی و مفهوم Certificate Revocation List مراجعه کنید.

• برای تعیین CRL distribution point به CA وارد شده و کنسول Certification Authority را از Administrative Tools اجرا کنید.

ادامه ی مطلب

یک از مهم ترین پیکربندی ها پس از نصب CA ایجاد CRL است. CRL همان لیست لغو certificate هاست (Certificate Revocation List). همانطور که می دانید، هنگامی که یک certificate صادر می شود، دوره اعتباری دارد که توسط CA تعیین می گردد که معمولا یک یا دو سال است. هر زمان یک certificate به عنوان قسمتی از authentication به کار رود (یعنی از certificate ها برای احراز هویت استفاده شود)، زمان اعتبارش می بایست بررسی شود. اگر certificate منقضی شده باشد، احراز هویت صورت نمیگیرد.

گاهی اوقات، certificate ها حتی در زمان اعتبارشان نیز معتبر نیستند. برای مثال، اگر private key یک certificate گمشده یا درمعرض حمله قرار گرفته باشد، احراز هویت توسط این certificate نبایستی تایید شود. این اتفاق همانند زمانیست که افرادی شغل و شرکتشان را تغییر می دهند؛ هنگامی که آنها مدارکشان را جایگزین می کنند، مدارک قبلی می بایست با عنوان "دیگر قابل قبول نیست" برچسب بخورند. هدف CRL اینست که certificate هایی را لیست کند که معتبرند، اما لغو شده اند!

نقطه آغازین برای CRL با نام CRL Distribution Point معرفی شده که در بخشی از certificate قرار گرفته است. CDP ضروری نیست اما، اکثر PKI هایی که به خوبی در حال کارند، برای هر certificate یک CDP دارند. شما می توانید CDP را برای هر certificate مشاهده کنید (شکل زیر – برای مشاهده CDP از قسمت show گزینه <All> را انتخاب کنید.

ادامه ی مطلب

همانطور که گفته شد، Network Device Enrollment Service به روترها و دیگر تجهیزات شبکه اجازه می دهد تا براساس پروتکل Simple Certificate Enrollment Protocol (SCEP)، از سیستم های سیسکو certificate دریافت کنند. پروتکل SCEP برای پشتیبانی از صدور certificate های ایمن و معتبر برای تجهیزات شبکه به کار می رود.

توجه کنید که ویژگی NDES را نمی توان همراه با Certificate Authority نصب کرد. می بایست ابتدا CA را نصب کرد و سپس NDES را نصب نمود.

توجه کنید که نصب این ویژگی می بایست روی سرور issuing CA باشد، چون قرار نیست که root CA در شبکه فعالیت کرده باید آفلاین شود. نکته دیگر اینکه، در ابتدای نصب، می بایست یک حساب کاربری ایجاد کنید:

• ابتدا به سرور Active Directory رفته (همان DC) و Active Directory Users And Computers را اجرا کنید. دقت کنید که این حساب کاربری (User Account) را در یک OU ای قرار دهید که policy اعمال نشده باشد. روی OU راست کلیک کرده و از New روی User کلیک کنید. در قسمت Name، نامی را انتخاب کنید. این نام را در logon name و pre-Windows 2000 logon نیز بنویسید. برای مثال NDESService بدین صورت نام گذاری کنید. پسوردی پیچیده را انتخاب کرده و گزینه Password Never Expires را تیک بزنید. همچنین دقت کنید که تیک User Must Change Password At Next Logon را بردارید.
•  حالا به سرور issuing CA رفته و از Server Manager به Configuration رفته و از Local Users And Groups پوشه Groups را کلیک کنید. حال گروه IIS_IUSRS را باز کنید.

ادامه ی مطلب

در مرحله قبل، شما CA صادرکننده (issuing CA) را نصب کردید. اما به دلیل اینکه root CA آفلاین بوده و نتوانستیم برای issuing CA یک certificate دریافت کنیم تا سرور معتبر شود. اکنون بایستی certificate را روی issuing CA نصب کرده تا نصب این CA کامل شود. در محیط های واقعی، شما می بایست فایل درخواست certificate ای که قبلا ایجاد کرده اید را با فلش به root CA منتقل کنید اما چون در محیط آموزشی هستیم، از طریق یک پوشه share شده روی سرور root CA اینکار را انجام می دهیم. به هر حال، فایل درخواست را به سرور root CA منتقل کنید.

• برای شروع، پس از اینکه فایل درخواست certificate را به root CA انتقال کردید، کنسول Certificate Authority را از Administrative Tools اجرا کنید.
• در کنسول Certificate Authority روی نام root CA راست کلیک کرده و از بخش All Tasks گزینه Submit New Request را انتخاب کنید.

ادامه ی مطلب